OzzTech - Olay Müdahalesi Nedir?

Olay Müdahalesi Nedir?

Olay müdahalesi, bir kuruluşun saldırı veya ihlalin sonuçlarını ("olay") yönetme girişimi de dahil olmak üzere, bir kuruluşun bir veri ihlali veya siber saldırıyı ele aldığı süreci tanımlamak için kullanılan bir terimdir. Nihai olarak amaç, hasarın sınırlandırılması ve hem kurtarma süresi hem de maliyetlerin yanı sıra marka itibarı gibi ikincil hasarların minimumda tutulması için olayı etkin bir şekilde yönetmektir.

Kuruluşlar, en azından, yerinde açık bir olay müdahale planına sahip olmalıdır. Bu plan, şirket için neyin bir olay teşkil ettiğini tanımlamalı ve bir olay meydana geldiğinde izlenecek açık, rehberli bir süreç sağlamalıdır. Ayrıca, hem genel olay müdahale girişimini yönetmekten hem de olay müdahale planında belirtilen her bir eylemi gerçekleştirmekle görevli ekiplerin, çalışanların veya liderlerin belirtilmesi önerilir.

Olay Yanıtlarını Kim İşleyecek?

Tipik olarak, olay müdahalesi, bir kuruluşun siber olay müdahale ekibi olarak da bilinen bilgisayar olay müdahale ekibi (CIRT) tarafından gerçekleştirilir. CIRT'ler genellikle güvenlik ve genel BT personeli ile hukuk, insan kaynakları ve halkla ilişkiler departmanlarının üyelerinden oluşur. Gartner'ın tanımladığı gibi, bir CIRT, “önemli güvenlik riskleriyle karşı karşıya kalan işletmelerde güvenlik ihlallerine, virüslere ve diğer potansiyel olarak felakete yol açabilecek olaylara yanıt vermekten sorumlu olan bir gruptur. Belirli tehditlerle başa çıkabilen teknik uzmanlara ek olarak, bu tür olayların ardından kurum yöneticilerine uygun iletişim konusunda rehberlik edebilecek uzmanları da içermelidir.”

Etkili Olay Müdahale İçin Altı Adım:

  1. Hazırlık: Olay müdahalesinin en önemli aşaması, kaçınılmaz bir güvenlik ihlaline hazırlanmaktır. Hazırlık, kuruluşların CIRT'lerinin bir olaya ne kadar iyi yanıt verebileceklerini belirlemelerine yardımcı olur ve politika, müdahale planı/stratejisi, iletişim, dokümantasyon, CIRT üyelerinin belirlenmesi, erişim kontrolü, araçlar ve eğitimi içermelidir.
  2. Tanımlama: Tanımlama, ideal olarak hızlı müdahaleyi sağlamak ve dolayısıyla maliyetleri ve zararları azaltmak için olayların tespit edildiği süreçtir. Bu etkili olay müdahalesi adımı için BT personeli, olayları ve kapsamlarını tespit etmek ve belirlemek için günlük dosyalarından, izleme araçlarından, hata mesajlarından, izinsiz giriş tespit sistemlerinden ve güvenlik duvarlarından olayları toplar.
  3. Sınırlama: Bir olay tespit edildiğinde veya tanımlandığında, onu kontrol altına almak en önemli önceliktir. Sınırlamanın temel amacı, hasarı kontrol altına almak ve daha fazla hasarın oluşmasını önlemektir (ikinci adımda belirtildiği gibi, olaylar ne kadar erken tespit edilirse, hasarı en aza indirmek için o kadar erken kontrol altına alınabilirler). Özellikle “kovuşturma için daha sonra gerekebilecek herhangi bir delilin yok edilmesini önlemek” için, sınırlama aşamasında SANS'ın tavsiye ettiği tüm adımların atılması gerektiğini belirtmek önemlidir. Bu adımlar, kısa vadeli sınırlama, sistem yedekleme ve uzun vadeli sınırlamayı içerir.
  4. Eradikasyon: Eradikasyon, tehdidin ortadan kaldırılmasını ve etkilenen sistemlerin ideal olarak veri kaybını en aza indirirken önceki durumlarına geri yüklenmesini içeren etkin olay müdahalesi aşamasıdır. Kötü niyetli içeriğin kaldırılmasının yanı sıra etkilenen sistemlerin tamamen temiz olmasını sağlayan önlemler de dahil olmak üzere, bu noktaya kadar uygun adımların atıldığından emin olmak, yok etme ile ilgili ana eylemlerdir.
  5. Kurtarma: Yeniden bulaşmadıklarını veya tehlikeye girmediklerini doğrulamak için sistemleri tekrar üretime koyarken test etme, izleme ve doğrulama, olay müdahalesinin bu adımıyla ilişkili ana görevlerdir. Bu aşama aynı zamanda operasyonları geri yüklemek için zaman ve tarih açısından karar vermeyi, güvenliği ihlal edilmiş sistemleri test etmeyi ve doğrulamayı, anormal davranışları izlemeyi ve sistem davranışını test etmek, izlemek ve doğrulamak için araçları kullanmayı içerir.
  6. Alınan Dersler: Alınan dersler, olay müdahalesinin kritik bir aşamasıdır çünkü gelecekteki olay müdahale çabalarını eğitmeye ve iyileştirmeye yardımcı olur. Bu, kuruluşlara olay sırasında kaçırılmış olabilecek bilgilerle olay müdahale planlarını güncelleme fırsatı ve ayrıca gelecekteki olaylar için bilgi sağlamak için eksiksiz belgeler sağlayan adımdır. Alınan dersler raporları, olayın tamamının net bir incelemesini sağlar ve özet toplantıları, yeni CIRT üyeleri için eğitim materyalleri veya karşılaştırma için karşılaştırma ölçütü olarak kullanılabilir.

Doğru hazırlık ve planlama, etkili olay müdahalesinin anahtarıdır. Kesin bir plan ve eylem planı olmadan, bir ihlal veya saldırı meydana geldikten sonra etkin müdahale çabalarını koordine etmek için genellikle çok geç kalınmıştır. Kapsamlı bir olay müdahale planı oluşturmak için zaman ayırmak, kaçınılmaz bir ihlal meydana geldiğinde sistemleriniz ve verileriniz üzerindeki kontrolü hemen yeniden kazanmanızı sağlayarak şirketinize önemli ölçüde zaman ve para tasarrufu sağlayabilir.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.